Življenje z dežele: Uporaba vgrajenih orodij

Living Off the Land Binaries, pogosto imenovane LOLBins, predstavljajo enega najbolj vztrajnih izzivov v sodobni zaznavi grozhenj. Kot preizkusevalec vdorov dosledno ugotavljam, da so te tehnike med najucinkovitejsimi pri obvodu varnostnih kontrol, prav zato, ker so orodja, ki se uporabljajo, legitimne, podpisane Microsoftove datoteke, ki obstajajo na vsakem sistemu Windows. Ta objava se navezuje na MITRE ATT&CK tehniko T1218 (izvajanje prek sistemskih datotek) in njene stevilne podtehnike, moj cilj pa je pomagati branilcem zgraditi ucinkovito zaznavo okoli teh pogosto zlorabljenih orodij.

Zakaj so LOLBins ucinkoviti

Temeljni izziv z zaznavo LOLBin je dvojna narava teh orodij. Vsak LOLBin ima legitimen namen in v mnogih okoljih se ta orodja dnevno uporabljajo s strani sistemskih administratorjev, namestitvenih programov in avtomatiziranih procesov. Resitve za belo listo aplikacij obicajno dovoljujejo te datoteke, ker so podpisane s strani Microsofta in potrebne za normalno delovanje sistema. Napadalci izkoriščajo to prirojeno zaupanje z uporabo teh orodij za prenos datotek, izvajanje kode in izvajanje drugih zlonamernih dejanj. Kljuc za branilce ni blokiranje teh orodij v celoti, kar bi pokvarilo legitimno funkcionalnost, temvec spremljanje anomalnih vzorcev uporabe, ki kazejo na zlorabo.

Pogosti LOLBins in njihovi vzorci zlorabe

Razumevanje specificnih nacinov zlorabe vsakega orodja branilcem pomaga zgraditi ciljana pravila zaznave. Tu so najpogosteje zlorabljeni LOLBins, na katere naletim med angazmaji.

• certutil.exe (T1140) - Namenjen upravljanju certifikatov, certutil lahko prenasa datoteke iz URL-jev z zastavico -urlcache in kodira ali dekodira Base64 podatke. Branilci bi morali spremljati certutil.exe z argumenti ukazne vrstice, ki vsebujejo -urlcache, -split, -encode ali -decode. Vsaka omrezna povezava, ki jo sprozi certutil.exe, bi morala biti preiskana, saj operacije upravljanja certifikatov v vecini okolij redko zahtevajo dostop do interneta.
• mshta.exe (T1218.005) - Gostitelj aplikacij Microsoft HTML izvaja datoteke HTA, ki lahko vsebujejo VBScript ali JScript. Napadalci ga uporabljajo za izvajanje skript iz oddaljenih URL-jev ali lokalnih datotek. Branilci bi morali opozoriti na mshta.exe, ki se izvaja z argumenti URL ali poraja podrejene procese, kot sta cmd.exe ali powershell.exe, kar skoraj nikoli ni legitimen vzorec uporabe.
• regsvr32.exe (T1218.010) - Zasnovan za registracijo DLL-jev COM, regsvr32 lahko tudi izvaja skriptlete COM iz oddaljenih URL-jev z uporabo vzorca /s /n /u /i:URL, znanega kot napad Squiblydoo. Spremljajte regsvr32.exe z argumenti /i, ki vsebujejo URL-je ali izvajajo skripte iz zacasnih imenikov.
• rundll32.exe (T1218.011) - To orodje izvaja funkcije DLL in ga je mogoce zlorabiti za zagon poljubne kode. Branilci bi morali opazovati rundll32.exe, ki izvaja DLL-je iz neobicajnih lokacij, kot so uporabniski zacasni imeniki, mape za prenose ali omrezne skupne rabe, namesto iz System32 ali Program Files.
• msiexec.exe (T1218.007) - Namestitveni program Windows lahko namesca pakete iz oddaljenih URL-jev, kar napadalcem omogoca prenos in izvajanje zlonamernih paketov MSI. Spremljajte msiexec.exe, ki se povezuje z zunanjimi URL-ji ali namesca pakete iz nestandardnih lokacij.

Alternative PowerShell

Ker se je zaznava PowerShell bistveno izboljsala z belezenjem skriptnih blokov in AMSI, so se napadalci preusmerili na alternativne metode izvajanja, ki zagotavljajo podobne zmoznosti z manjso vidnostjo.

• wmic.exe (T1047) - Ukazna vrstica instrumentacije za upravljanje Windows lahko ustvarja procese, poizveduje sistemske informacije in celo izvaja skripte na daljavo. Ukazi WMIC process call create so neposredna alternativa PowerShell za izvajanje ukazov. Branilci bi morali spremljati WMIC z argumenti process call create in opazovati oddaljene povezave WMIC.
• cscript.exe in wscript.exe (T1059.005) - Gostitelja skript Windows izvajata datoteke VBScript in JScript. Ta skriptna mehanizma predhodita PowerShell in sta manj pogosto nadzorovana. Branilci bi morali obravnavati izvajanje gostiteljev skript z enako stopnjo nadzora kot PowerShell, spremljati skripte, izvajane iz neobicajnih lokacij, in opazovati ustvarjanje podrejenih procesov.
• msbuild.exe (T1127.001) - Microsoftov mehanizem za gradnjo lahko prevede in izvede vgrajeno kodo C# iz projektnih datotek XML, kar ucinkovito zagotavlja mehanizem za izvajanje kode, ki zaobide belo listo aplikacij. Branilci bi morali opozoriti na msbuild.exe, ki se izvaja zunaj razvojnih okolij, in spremljati msbuild.exe, ki poraja nepricakovane podrejene procese.

Strategije zaznave za zlorabo LOLBin

Ucinkovita zaznava LOLBin zahteva kombinacijo vedenjske analitike, analize izhodiscne linije in kontekstualne zavednosti. Tu je pristop, ki ga priporocam organizacijam na podlagi mojih izkusenj s testiranjem.

• Analiza argumentov ukazne vrstice - Vecina zlorab LOLBin vkljucuje specificne argumente ukazne vrstice, ki se razlikujejo od legitimne uporabe. Omogocite belezenje ukazne vrstice prek Sysmon dogodka ID 1 ali varnostnega dogodka Windows ID 4688 z revizijo ukazne vrstice procesa. Zgradite pravila zaznave, ki oznacijo znane zlonamerne vzorce argumentov za vsak LOLBin.
• Spremljanje omreznih povezav - Mnoge tehnike LOLBin vkljucujejo prenasanje vsebine iz interneta. Orodja kot certutil, mshta, msiexec in regsvr32 bi morala redko sprožati odhodne omrezne povezave v vecini okolij. Uporabite Sysmon dogodek ID 3 (omrezna povezava) za spremljanje nepricakovane omrezne aktivnosti teh datotek.
• Anomalije starsevskih procesov - Zloraba LOLBin pogosto proizvaja neobicajne odnose stars-otrok procesov. Na primer mshta.exe, ki ga pozene outlook.exe ali winword.exe, je zelo sumljiv in verjetno kaze na koristno vsebino phishinga. Zgradite pravila analize procesnega drevesa, ki oznacijo nepricakovane starsevske procese za pogoste LOLBins.
• Izvajanje iz neobicajnih lokacij - Legitimna uporaba LOLBin obicajno vkljucuje datoteke, ki se izvajajo iz njihovih standardnih lokacij System32. Ce rundll32.exe ali regsvr32.exe nalaga DLL-je iz uporabnisko zapisljivih imenikov, je to mocen indikator zlorabe.

Priporocila za zaznavo in obrambo

Izgradnja celovite zaznave LOLBin zahteva vlozek v razumevanje izhodiscne linije vasega okolja. Tu so moja specificna priporocila za branilce.

• Izhodiscna linija legitimne uporabe LOLBin - Preden gradite pravila zaznave, si vzemite cas za razumevanje, kako se ta orodja legitimno uporabljajo v vasem okolju. To preprecuje utrujenost od opozoril zaradi laznih pozitivov in vam omogoca ustvarjanje bolj natancnih pravil zaznave.
• Izkoriščajte projekt LOLBAS - Projekt Living Off the Land Binaries, Scripts, and Libraries vzdrzuje celovito podatkovno bazo dvojno uporabnih datotek in njihovega potenciala za zlorabo. Uporabite ta vir za identifikacijo, kateri LOLBins so prisotni v vasem okolju, in zgradite zaznavo za vsakega.
• Implementirajte politike nadzora aplikacij - Kjer je mogoce, uporabite Windows Defender Application Control ali AppLocker za omejitev, kateri uporabniki in procesi lahko izvajajo LOLBins. Na primer vecina koncnih uporabnikov nikoli ne potrebuje zagona msbuild.exe ali regsvr32.exe, zato jih je mogoce blokirati za standardne uporabnike, medtem ko ostanejo na voljo administratorjem.
• Ustvarite korelacijska pravila SIEM - Zdruzite vec sibkih signalov v mocnejse zaznave. Posamezen prenos certutil je morda benignen, vendar certutil, ki prenese datoteko, ki mu sledi rundll32, ki izvede DLL iz istega imenika v kratkem casovnem oknu, je zelo sumljiv.
• Redno testiranje vaših zaznav - Uporabite okvire kot Atomic Red Team za periodicno testiranje vaših zaznav LOLBin. Vsak test potrdi, da vasa pravila pravilno delujejo, in identificira morebitne vrzeli, ki so nastale zaradi sprememb okolja ali odmika pravil.

Razvijajoce se okolje LOLBin

Okolje LOLBin se naprej razvija, ko varnostni raziskovalci odkrivajo nove dvojno uporabne zmoznosti v obstojocih sistemskih datotekah. Branilci morajo ostati na tekočem z novimi odkritji s spremljanjem projekta LOLBAS in virov obveščevalnih podatkov o groznjah. Med vsakim preizkusom vdorov, ki ga izvedem, dokumentiram, katere tehnike LOLBin uspesno zaobidejo klientov sklad zaznave, s cimer zagotavljam operativno uporabne obveščevalne podatke za izboljsanje njihove varnostne drze. Najucinkovitejse organizacije obravnavajo zaznavo LOLBin kot stalen program in ne kot enkratno konfiguracijo, neprestano izpopolnjujejo svoja pravila in sirsijo svojo pokritost, ko se okolje grozhenj spreminja.